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Abstract 



To provide sufficient security, a method, based on the use of a code-controlled one-way function with a 
threshold scheme, is described. N shadows si are derived from the personal code of each of n authorized 
persons in the central office, a code k is calculated in the central office from the n shadows si, . . . sn using 
an (n, t) threshold scheme, and the data for establishing code k is transmitted though an unsecured 
channel. The data for establishing code k comprises data required for deriving shadows si from the 
personal codes ki and n-1 other shadows of the (n,t) threshold scheme, which other shadows differ from 
the shadows of the authorized persons. The method can be used for a plurality of purposes; however, it is 
specifically designed for providing security in the transmission of a broadcast program subject to fees (pay- 
TV, pay-radio). 
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® Verfahren zur Etablierung eines gemeinsamen Schlussels fur autorisierte rersonen durch eine Zentraie 



(§7) Fur die Schlusseletablierung fur autorisierte Personen 
warden Schlussel k verschlussert Gbertragen. was teilweise 
auf rechtliche Vorbeharte stoBt. 

Um solchen Vorbehalten zu begegnen und gleichzettig 
hinreichende Sicherheit zu bieten, wird ein Verfahren be- 
schrieben, das auf einer Kombination einer schlusselgesteu- 
arten Einwegfunktion mit einem Threshold-Verfahren be- 
ruht. 

Das Verfahren ist fur viale Zwecke anwendbar; jedoch 
pradestiniert fur die Sicherung der Obertragung eines 
gebuhrenpflichtigen Rundfunkprogramms (Pay-TV, Pay-Ra- 
dio). 
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Die folaandan Anoahon sind dan vom Anmelder elnaereichten Unterlaaen entnommen 



Beschreibung 

Die Erfindung betrifft ein Verfahren der im Oberbe- 
griff des Patentanspruchs 1 naher definierten Art Ein 
derartiges Verfahren ist beispielsweise in DIN EN 
50 094 far Pay-TV-System Eurocrypt aiifgefuhrt Es 
dient zum Etablieren einer gemeinsamen geheimen In- 
formation k (Schlussel) fur autorisierte Personen aus 
einer grdBeren Personengruppe P « {Pi, . . . P m } durch 
eine zentrale Instanz Z (Zentrale). 

Die Zentrale entscheidet dariiber, welche Personen 
aus einer Personengruppe autorisiert sind. Das Verfah- 
ren garantiert, dafl nur diese Personen den Schlussel 
erhalten bzw. berechnen kdnnen. Die autorisierten Per- 
sonen seien im folgenden o. B. & A rait P u . . , P n be- 
zeichnet (so daB also n < m gilt). Nachrichten der Zen- 
trale an die Benutzer kdnnen fiber ein Rundfunkmedium 
(terrestrischer Rundfunk, Satellit, Kabelnetz) oder an- 
dere ungesicherte KanaMe an die Personen aus P gesen- 
det werden. 

Bekannt ist die Verwendung eines symmetrischen 
Verschlusselungsalgorithmus (fur die Definition eines 
symmetrischen Verschlusselungsalgorithmus siebe auch 
A. Beutelspacher: Kryptologie, Vieweg Verlag 1994) . 
Jeder Person Pi aus P ist ein personlicher Schlussel ki 
zugeordnet, den nur die Person selbst und die Zentrale 
kennen. Die Zentrale Z wahlt nur den Schlussel k und 
verschlusselt inn fur i = 1, .., N mit dem jeweiligen 
persdnlichen Schlussel ki: 

G- E(kuk). 

Dieses Kryptogramm wird dann an die (autorisierte) 
Person Pi geschickt, die den Schlussel k berechnen kann, 
indem sie das Kryptogramm entschliisselt: 



Eine Einwegfunktion (vgL Beutelspacher, s. a) ist eine 
Funktion g( ), die sich leicht auswerten laBt (dh. hlr 
jeden Wert a ist g(a) leicht berechenbar), fOr die es aber 
praktisch unmdglich ist, zu einem gegebenen Bildwert b 
5 ein Urbild a zu finden, so daB g(a) » b gilt Eine schlus- 
selgesteuerte Einwegfunktion ist eine Einwegfunktion f 
( • , - ) mit zwei Argumenten k und a, wobei der Wert k als 
Schlussel angesehen werden kann. 
Mit einem (n,t)-Threshold- Verfahren kann man ein 

io Geheimnis k so in t Tel' i> die Shadows genannt werden, 
zeriegen, daB dieses Geheimnis aus je n der t Shadows 
rekonstruiert werden kann. 

Als Beispiel fur ein solches (n,t)-Threshold- Verfahren 
soli im folgenden ein Polynom vom Grad n— 1 dienen, 

is aus dem t » 2n— 1 Stfltzstelien als Shadows ausgew§hlt 
werden. Durch Angabe von n Stfltzstellen, d. h. von n 
Paaren (xu yi) (i = l,..,n) von Eleraenten eines Kdrpers 
mit unterschiedlichen x-Komponenten, wird ein eindeu- 
tiges Polynom vom Grad n— 1 deflniert Dieses Poly- 

20 nom schneidet die y-Achse in einem eindeutig definier- 
ten Punkt 

Zur E tab lie rung eines gemeinsamen Schlussels fur die 
autorisierten Personen Pi, . ., P n wird zunachst jeder 
Person Pj aus P unter Verwendung des persdnlichen 
25 Schlussels kj eine Stutzstelle (aj, bj) zugeordnet Dies 
kann auf verschiedene Art und Weise geschehen: 



1. (a j ,b j ): = 0,kiX 

2. (aj, bj) : (j, gfci)) fflr eine Einwegfunktion g( * ), 
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D(ki,Q) = D(ki, EfkiM)) = k. 

Dieses Verfahren wird z. B. im Pay-TV-System Euro- 
crypt (DIN EN 50 094) zur Etablierung eines System- 40 
schlussels eingesetzt 

Der Nachteil dieses Verfahrens besteht darin, daB der 
Schlussel k verschlusselt ubertragen wird In vieien 
Staaten steht die Verwendung eines Verschlusselungsal- 
gorithmus unter rechtlichen Vorbehalten. Dies kdnnte 45 
z. B. dazu fiihren, daB der oben verwendete Algorithmus 
E (fur engL "encryption") sehr schwach sein muB. 

Der Erfindung liegt die Aufgabe zugrunde, ein allge- 
meiner unbedenklich anwendbares Verfahren anzuge- 
ben, das gleichzeitig hinreichend sicher ist 50 

Diese Aufgabe wird mit den im Kennzeichen des Pa- 
tentanspruchs 1 dargelegtenVerfahrensschrittengeldst 

Hinsichtlich erhdhter Sicherheit sind vorteilhafte 
Weiterbildungen in den Kennzeichen der UnteransprO- 
che 2 bis 4 angefuhrt 55 

Die Erfindung, die nachfolgend an Ausfuhrungsbei- 
spielen naher beschrieben wird, besteht darin, mit Me- 
thoden der symmetrischen Kxyptographie die Funktio- 
nalitat des oben beschriebenen Verfahrens nachzubil- 
den, ohne Verschlusselungsverfahren zu verwenden. 60 
Dadurch kann bei Einhaltung rechtlicher Bestimmun- 
gen die Sicherheit des SchlOsselverteiunechanismus ver- 
bessert werden. 

Die hier beschriebene Erfindung beruht auf einer 
Kombination einer schlusselgesteuerten Einwegfunk- 65 
tion mit einem Threshold- Verfahren (A- Shamir: How to 
Share a Secret Comm. ACM, VoL 24, Nr. 11, 1979, 
118-119). 



3. (aj, bj) : «=(j» f(rjq)) fur eine schlQsselgesteuerte 
Einwegfunktion f( * , • ) und eine Zuf allszahl r, 

4. (aj, bj) : =(f(rjj), f(rjj')) fur eine schlQsselgesteuer- 
te Einwegfunktion f( • , • ), eine Zufallszahl r und kj — 

usw. 

Durch die Stutzstellen (ai, bi,) .., (an, bn) wird ein 
Polynom p(x) vom Grad n— 1 festgeiegt Der eindeutige 
Schnitt punkt 

k:«p(0) 

dieses Polynoms mit der y-Achse ist der gemeinsame 
Schlussel fur Pi, - . ., P n - Damit die autorisierten Perso- 
nen Pi, . . , P n diesen Wert k berechnen kdnnen, wahlt 
die Zentrale n — 1 weitere Stutzstellen (ci, dt)r . ., (c n - 1, 
d n - 1), die von (a t , bi), . . , (an, b n ) verschieden sein mas- 
sen. Diese kdnnen zusammen mit der zur Berechnung 
der StOtzstellen ndtigen Zusatzinf ormation (z. B. die Zu- 
fallszahl r aus 3.) an alle Personen aus P gesendet wer- 
den. 

Nur die autorisierten Personen Pj (1 ^ j < n) kdnnen 
jetzt den Schlussel k berechnen. Dazu fugt Pj der Menge 
(c i( di), . . , (c n -u dn-i) die Stutzstelle (aj, bj) hinzu, die 
nur er und die Zentrale berechnen kdnnen, da nur er und 
die Zentrale den persdnlichen Schlussel kj kennen. Die 
so erhaltenen n Stutzstellen legen das Polynom p(x) und 
damit auch die Zahl k = p(0) eindeutig f est 

Die nicht autorisierten Personen Pi (n+t < j :£ m) 
kdnnen den Schlussel k nicht berechnen, da die von 
ihnen berechenbaren StOtzstellen (ai, bi) nicht auf dem 
Graphen von p(x) liegen. 

Eine empfohlene Realisierung der hier vorgestellten 
Erfindung sollte zur Ableitung der Stutzstellen eine 
schlusselgesteuerte Einwegfunktion, also eine Variante 



3 4 
der Verfahren (3.) oder (4.) verwenden, urn mdgliche 
Angriffe auszuschlieBen, die bei Verwendung der 
schwacheren Varianten (1.) und (2.) mdglich waren. In 
diesem Fall kann gezeigt werden, daB ein nicht autori- 
sierter Angreifer einen nach diesem Verfahren etablier- 5 
ten Schlflssel k nur dann brechen kdnnte, wenn er die 
Einwegfunktion umkehren k6nnte. 

Patentansprflche 

10 

1. Verfahren zur Etablierung eines gemeinsamen 
SchlOssels k fQr autorisierte Personen, wobei die 
Menge der autorisierten Personen eine sich zeitlich 
andernde Teilmenge einer Gesamtmenge von Teil- 
nehmern ist, durch eine Zentrale Z fiber ungesi- 15 
cherte Kan ale, insbesondere ein Rundfunkmedium, 
bei dem die Teilnehmer je einen personlichen 
Schlflssel ki besitzen, der nur dern betreffenden 
Teilnehmer und der Zentrale bekannt ist, dadurch 
gekennzeichnet, 20 

— daB in der Zentrale a us dem pers6nlichen 
Schlflssel jeder der n autorisierten Personen je 
ein Teilgeheimnis (Shadow) si abgeleitet wird, 

— daB in der Zentrale aus der Gesamtheit der 

so erhaJtenen Shadows der autorisierten Per- 25 
sonen ein (n,t)-Threshold- Verfahren (mit t > 
2n — 1) konstruiert wird, 

— daB in der Zentrale mit Hilfe dieses 
(iU)-Threshold-Verfahrens aus den n Shadows 

s 1 ,...s n ein Schlflssel kberechnet wird, 30 

— daB die Daten zur Konstruktion von k, die 
aus den zur Ableitung der Shadows ss aus den 
personlichen Schlusseln ki notwendigen Daten 
und aus n— 1 weiteren Shadows des 
(n,t)-Threshoid- Verfahrens, die sich von den 35 
Shadows der autorisierten Personen unter- 
scheiden, bestehen, iiber den ungesicherten 
Kanal flbertragen werden, und 

— daB autorisierte Personen empfangsseitig 
den Schlflssel k aus ihrem personlichen Senilis- 40 
sel ki den ihnen zugeordneten Shadow $\ ablei- 
ten und aus diesem Shadow mit Hilfe der n— 1 
weiteren Shadows sowie dem (n,t)-Threshold- 
Verfahren den Schlflssel k berechnen. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 45 
zeichnet, daB bei der Ableitung des Teilgeheimnis 
(Shadow) si in der Zentrale aus dem persdnlichen 
Schlflssel fur jede der n autorisierten Personen un- 
ter Verwendung eines gemeinsamen Parameters r 
und jeweils des persfinlichen SchlOssels (q unter 50 
Verwendung einer Einwegfunktion f(-,*) das Teil- 
geheimnis (Shadow) in der Form von ss = f(rjci) 
abgeleitet wird 

3. Verfahren nach Anspruch 1 und 2, dadurch ge- 
kennzeichnet, daB das (n,t)-Threshold- Verfahren 55 
durch ein Polynom vom Grad n — 1 reaiisiert wird, 
das durch n Sttitzstellen, zu deren Ableitung die 
Shadows verwendet werden, eindeutig definiert ist, 
und bei dem weitere Shadows dadurch gewonnen 
werden, daB die Zentrale Punkte auf dem Graphen so 
des Polynoms ausw&hlt, die von den aus den Sha- 
dows der autorisierten Teilnehmer gewonnenen 
Sttitzstellen verschieden sind. 

4. Verfahren nach Anspruch 1, dadurch gekenn- _ - 
zeichnet, daB es zum sukzessiven etablieren einer 65 
Hierarchie von Schlusseln verwendet wird. 
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